2013年6月26日 星期三

人為疏失與系統錯誤為企業資料外洩的主因

人為疏失與系統錯誤為企業資料外洩的主因

全球安全、儲存與系統管理解決方案領導廠商賽門鐵克(Nasdaq: SYMC)與Ponemon Institute共同發表2013年全球資料外洩成本調查報告(2013 Cost of Data Breach Study: Global Analysis)。這份新出爐的調查報告指出,2012年的資料外洩事件中,有三分之二是肇因於人為疏失與系統故障,將每筆外洩資料的平均成本推升到136美元(註1)。導致資料外洩的主因包括員工不當處理機密資料、缺乏系統控管,以及違反產業與政府規範。其中,醫療、金融及製藥等高度嚴格規範的產業,其資料外洩的成本較其他產業高出七成。

以全球市場而言,單筆顧客外洩資料成本較去年上升,然而,美國每起資料外洩事件的整體成本卻些微下降至540萬美元,主要原因是美國企業普遍設有資訊安全長職務(Chief Information Security Officer, CISO)、完備的資料外洩事件應變計畫,並全面推動資安防護措施。

Ponemon Institute董事長Larry Ponemon表示:「儘管外部攻擊者的攻擊手法日新月異,對企業造成莫大威脅,但來自公司內部的威脅也具同樣的破壞力與潛在危險。根據我們近八年來資料外洩成本的研究結果,對現今的企業而言,員工行為是最棘手的問題之一,從第一個相關調查報告發表至今,因員工不當行為所造成的資料外洩事件比例上升了22%。」

賽門鐵克資訊安全事業群執行副總裁Anil Chakravarthy表示:「這份報告指出,擁有完善的安全部署及應變計畫的企業,其資料外洩成本較其他企業少20%,因此全面性資安防護措施的重要性不言而喻。無論是存在個人電腦、行動裝置、企業網路或資料中心的機密客戶資料,企業都必須善加保護。」

賽門鐵克建議,企業可至Symantec’s Data Breach Risk Calculator網站,分析公司的資安風險。這項分析工具以企業組織規模、產業別、所在位置與安全措施做為分析基礎,來估算每筆外洩資料與企業面臨的資安風險。

其他重要發現還包括:

每筆外洩資料的平均成本依企業所在地區而有重大差異,差異成因包括威脅類型不同、各區域資料保護規範不同。有些國家如德國、澳洲、英國、美國等,其消費者保護法令與規範較為完善,其資料外洩成本也較高。如美國和德國企業一直都是資料外洩成本最高的國家(單筆外洩資料的平均成本分別為188美元和199美元),而這兩國企業的單起資料外洩事件整體成本也最高(分別為540萬美元及480萬美元)。

人為疏失與系統錯誤是資料外洩的主因。調查結果顯示,64%的資料外洩皆肇因於人為疏失和系統錯誤,先前的研究報告則顯示,62%的員工認為在公司以外的場合使用公司資料是合理的,其中多數員工使用完畢後也從不刪除資料,種下資料外洩的因子。這個現象說明了大部分資料外洩事件可能是內部員工所造成,以及可能的損失範圍有多大。受調九國當中,巴西企業最有可能發生人為疏失導致的資料外洩事件,而印度企業最有可能遭遇因系統故障或商業流程中斷造成的資料外洩,所謂的系統故障,包括應用程式失效、人為疏失造成的資料傾印(data dump)、資料傳輸時發生邏輯錯誤、身份認證或授權錯誤(不當存取)、資料復原錯誤等因素。

惡意程式和網路攻擊對全球企業造成的損失最高。總合所有調查結果發現, 37%的資料外洩歸咎於惡意程式與網路攻擊,這同時也是受調的九個國家中,成本最高的資料外洩事件成因。其中,美國與德國企業為惡意程式與網路攻擊付出的單筆外洩資料成本平均約為277美元(美國)和214美元(德國),是受調的九國企業中最高的,而巴西和印度企業最低,每筆外洩資料的成本分別為71美元(巴西)及46美元(印度)。此外,德國企業受到惡意程式與網路攻擊的可能性最高,其次為澳洲和日本。

企業採取行動能有效降低資料外洩成本。調查結果顯示,美國與英國企業大幅降低了資料外洩的成本,應歸功於這兩國的企業有堅強的安全部署及應變計畫,並普遍設置資訊安全長專責資訊安全事務。另一方面,美國和法國企業也因聘用了資料外洩修復顧問而降低資料外洩成本。

為避免資料外洩,並進一步降低資料外洩事件成本,賽門鐵克建議最佳作法如下:

1. 加強教育訓練,訓練員工善加處理機密資料。 
2. 採用防止資料外洩相關技術來識別敏感性資料,並預防機密資料外流。 
3. 建置加密技術及身份認證解決方案。 
4. 擬定資料外洩應變計畫,以及知會客戶的適當程序。 

第八年年度全球資料外洩成本調查報告是依據九個國家共計227家企業發生過的資料外洩事件分析而成,包括美國、英國、法國、德國、義大利、印度、日本、澳洲與巴西。受調九國個別與全球調查的摘要報告可從 http://bit.ly/10FjDik網站下載。報告調查中提及的所有資料外洩事件皆取樣自2012年,為了正確追蹤趨勢資料,Ponemon Institute並未將「巨量資料外洩事件」,也就是外洩資料總數超過十萬筆以上的單次資料外洩事件納入調查範圍。

轉載自《資安人科技網》

沒有留言:

張貼留言